Поддельные доверенные сертификаты становятся очень распространенной угрозой
— Бабушка, а почему ты отправляешь мои платежные данные куда-то в Индию?
Фальшивые подписи ПО, которые раньше использовались лишь в кампаниях продвинутых APT-группировок, все чаще применяются в рядовых кибератаках. Исследователи компании Chronicle обнаружили на VirusTotal тысячи образцов ПО с поддельными сертификатами и говорят, что реальное количество таких зловредов может быть на порядок больше.
Авторы работы не ставили целью пересчитать все фальшивые сертификаты, поэтому ограничили исследование файлами Windows PE, которые были загружены на VirusTotal за последний год. Основную часть поддельных подписей (78%) выпустили всего шесть сертификационных центров: Sectigo (до недавнего ребрендинга назывался Comodo), Thawte, VeriSign, Symantec, DigiCert и GlobalSign.
На первый УЦ пришлось около 40% обнаруженных сертификатов — они заверяют почти 2000 образцов ПО. Компания на второй строчке отстает от лидера на 1200 пунктов.
Распределение фальшивых подписей по выдавшим их центрам. Некоторые УЦ встречаются больше одного раза под разными наименованиями.
По словам исследователей, столь заметный отрыв объясняется тем, что Sectigo лидирует и на легальном рынке цифровых подписей. Таким образом, преступникам проще приобрести их сертификаты у перекупщиков.
Эксперты отмечают, что УЦ знают о существующей проблеме и блокируют доверенные подписи у обнаруженных вредоносных программ. По их данным, более 20% поддельных сертификатов из тех, что засветились на VirusTotal, были отозваны в период исследования. Реальная цифра может быть еще больше, т.к. специалисты могли учесть только те программы, которые после этого еще раз были загружены на сайт.
Как ни странно, доля УЦ на рынке не влияет на его успехи по борьбе с киберпреступниками. И лидер рейтинг Sectigo, и его ближайший конкурент Thawte отозвали по 350 сертификатов.
Все это означает, что существующая система проверки ПО, основанная на доверии к издателю сертификата, не обеспечивает должную защиту. Пользователям следует тщательно проверять, какое ПО они ставят на свои машины, а участникам рынка — подумать над более действенными методами.